PDA

Afficher la version complète : les distributions linux et la sécurité



isanini
15/08/2006, 00h45
bonjour à tous,

j'ai une question de newbie à poser http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

certaines distributions sont elles plus sures que d'autres ? je parle de distributions "classiques", exemple, une suse est elle plus sure qu'une mandriva ?

ou alors comme c'est tout du linux, et toutes sont sures ?

emilpoe
15/08/2006, 09h58
Salut,
http://webenic.enic.fr/~vanoudendycke/linux.htm

isanini
15/08/2006, 15h34
je retiendrais donc :

"Linux est devenu aussi vulnérable que Windows aux attaques virales. "

et

"Mais Linux possède quelques avantages par rapport à Windows : tout d'abord, c'est un système d'exploitation stable. Linux est l'un des systèmes les plus fiables et robustes existant à l'heure actuelle. Il peut en effet être utilisé pendant des mois durant sans qu'il y ait besoin de redémarrer le système."

devloop
15/08/2006, 16h31
quelques liens en sup :
http://gilles.fabio.free.fr/weblog/index.p...-plus-securisee (http://gilles.fabio.free.fr/weblog/index.php?2006/08/05/62-ubuntu-la-distribution-la-plus-securisee)
(ne vous fiez pas au titre du billet, faut lire les commentaires aussi et l'article en référence)

puis au passage ce blog parle de SUSE donc autant en profiter : http://gilles.fabio.free.fr/weblog/

sinon j'ai essayé Trustix récemment :
http://devloop.lyua.org/blog/index.php?200...nux-22-sunchild (http://devloop.lyua.org/blog/index.php?2006/08/06/299-trustix-secure-linux-22-sunchild)

offworld
15/08/2006, 17h26
Depuis quand linux est aussi leger que windows face au attaque viral??? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

Oui certaine distribution sont plus robuste, parcequ'elles sont dévellopés dans une optique de sécurité : openwall, debian, ...

isanini
15/08/2006, 18h36
J'aime pas les articles en anglais http://www.alionet.org/style_emoticons/<#EMO_DIR#>/cry2.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

mais contre je sais lire un tableau de score http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

la suse n'a pas l'air très réactive http://www.alionet.org/style_emoticons/<#EMO_DIR#>/ohmy.gif mais bon si elle est plus sure à la base ?

devloop
15/08/2006, 20h02
Oui certaine distribution sont plus robuste, parcequ'elles sont dévellopés dans une optique de sécurité : openwall, debian, ...[/b]

<troll>Tu fais référence à quelle version de Debian ? Celle déjà obsolète à sa sortie, la trouée, ou la cassée ?</troll>
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif

isanini
15/08/2006, 21h29
ca taquine, ca taquine http://www.alionet.org/style_emoticons/<#EMO_DIR#>/whistling.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

offworld
16/08/2006, 16h30
Je fait référence à la sarge, trouée j'en doute, cassé???, obsolete? depuis quand le dernier kde est utile pour un serveur ou un routeur?

devloop
16/08/2006, 21h38
je faisais référence au trio stable (obsolète), testing (troué) et unstable (cassé) http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

certes la version stable est... stable mais Debian n'apporte rien de spécial à sa sécurité face à des attaques... les seveurs sous Fedora tiennent bien mieux le coup avec les mécanismes de sécurité au niveau de la pile etc

Le principe de Debian c'est justement de faire un Linux "nu" sans y ajouter de retouches comme le font openSUSE, Fedora etc

phoenix
23/08/2006, 15h21
<div class='quotetop'>Citation </div>
Linux est devenu aussi vulnérable que Windows aux attaques virales.[/b]

C'est d'ailleurs pour ça qu'il y a autant de virus sous Linux que sous Windows ... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/scratch.gif

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

droper
18/09/2006, 20h53
Tiens, une autre question débile :
Est-ce que les virus de windows, en les executant endommage linux en les lançant avec Wine ?



édité par yoplait : orthographe et syntaxe
si le sens est bafoué, me le faire savoir.. mais c'est ce que j'ai compris :S

phoenix
19/09/2006, 00h17
droper, écris comme il faut s'il te plait. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/mad.gif

Torrent
23/09/2006, 06h54
Avec SuSE, on a AppArmor (Beau cadeau de Novell)

jacqueline
23/09/2006, 07h57
Torrent

Si tu peux en dire plus sur Appamor, ça m'intéresse.. : en résumé, bien sûr...

Pour ma part j'ai pensé que ce truc ( une solution maison de Novell ) nous éloignait trop de Linux et je soupçonnais même Novell de ne pas avoir voulu approfondir Linux pour y coller ce cataplasme... qui rendra les utilisateurs dépendant de Novell..

J'étais surprise que personne n'en parle : c'est bien , c'est nul, c'est optionnel, c'est compliqué, c'est inutile.. etc... Bien sur il ya la doc d'Appamor, mais j'aurais préféré un avis d'utilisateur...

Torrent
23/09/2006, 13h29
Bonjour Jacqueline;

Je ne suis pas spécialiste sécurité, j'avais lû ici et là que AppArmor était d'une protection très efficace, alors je me suis contenté de l'activer (sans créer de profils). AppArmor n'est pas une solution Maison Novell, c'est une boite de sécurité Francaise que Novell vient de racheter
Dans les pages de man, la définition est la suivante :
NAME
AppArmor kernel enhancement to confine programs to a limited set of
resources.

DESCRIPTION
AppArmor is a kernel enhancement to confine programs to a limited set
of resources. AppArmor's unique security model is to bind access con-
trol attributes to programs rather than to users.

AppArmor confinement is provided via profiles loaded into the kernel
via apparmor_parser(8), typically through the /etc/init.d/boot.apparmor
SysV initscript, which is used like this:

# /etc/init.d/boot.apparmor start
# /etc/init.d/boot.apparmor stop
# /etc/init.d/boot.apparmor restart
# /etc/init.d/boot.apparmor kill

C'est donc un log qui tourne en arrière plan et qui surveille ce qui se passe. L'ayant activé, je n'ai jamais constaté de différence. Ce que je sais, c'est que je ne l'avais pas activé sur le PC de mon fils, et qu'il s'est pris une sorte de trojan sur une SuSE 10 du fait de Firefox (1.0.4)
Impossible de virer le dossier Firefox (delete en tant que root pas mieux)
C'était une version Firefox qui avait fait l'objet d'une alerte de MAJ critique
Maintenant je l'active systématiquement, et j'installe Firefox en tant que "user" depuis le tgz d'install (n'a pas les droits root, ne figure pas dans les menus, il faut l'installer pour chaque "user"), de même que je n'installe plus sudo (vu que sur ce PC infecté j'avais des pop-up au boot de kde disant "sudo ne trouve pas ceci-de-firefox" après avoir réussi à désinstaller-non-sans-peine le firefox out-of-date.
Mais je pense qu'il y a des gens plus pointus que moi dans ce domaine qui répondront mieux

herrib
09/10/2006, 21h07
AppArmor, dans son principe, définit l'ensemble des ressources (fichiers) qu'une application peut utiliser (en lecture, écriture, exécution). Le manuel est fort bien fait et décrit les mécanismes (Jacqueline, tu avais donné les références en français (http://download.uni-hd.de/ftp/pub/linux/opensuse/distribution/SL-10.1/inst-source/docu/fr/) de la documentation ...).

Le lecture intéressé pourra par ailleurs consulter la documentation concernant SELinux, dispositif de portée équivalente mais reposant sur d'autres mécanismes, développé par Redhat et présent dans Fedora (voir en particulier: http://fedora.redhat.com/docs/selinux-faq/ ; à noter que SELinux a répondu à une commande de la National Security Agency .... c'est dire!?!).

Tuxie
10/10/2006, 10h08
Tiens, une autre question débile :
Est-ce que les virus de windows, en les executant endommage linux en les lançant avec Wine ?[/b]

Des multiples essais que j'ai pu faire, la réponse est non...

kyp
10/10/2006, 10h47
Non, j'imagine qu'au pire il pourrait endommager les fichiers spécifiques Wine/Windows qui sont dans ./wine/C
Mais le Linux autours n'y sera sensible, à moins d'un virus spécial capable de faire les deux bien sur. Ceci n'existe pas encore à ma connaissance.

jacqueline
10/10/2006, 12h15
AppArmor, dans son principe, définit l'ensemble des ressources (fichiers) qu'une application peut utiliser (en lecture, écriture, exécution). Le manuel est fort bien fait et décrit les mécanismes (Jacqueline, tu avais donné les références en français (http://download.uni-hd.de/ftp/pub/linux/opensuse/distribution/SL-10.1/inst-source/docu/fr/) de la documentation ...).[/b]

herrib !

Je n'y comprend rien !!!!!

Il me semble toutefois que c'est une sorte d'interface pour gérer de façon homogène les droits plus poussés des applications, qu'on retrouve dans Linux ( ce que je n'ai jamais fait encore, sauf une fois pour Proftpd : le chroot avec une doc inadaptée m'a valu une réinstall de la 9.2 ) ????

Applications confinées : je m'attendais à ce qu'on nous parle de chroot http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif un bon moyen de sécuriser les applications.

C'est aussi ce qu'on retrouve dans Apache avec la définition des reps accessibles aux scripts CGI ????

mais ce n'est pas ausi convivial que l'interface de conf de Iptables pour le firewall.. ( ai- je faux de comparer les deux : Appamor ne serait qu'une interface pour un truc de Linux très difficile à rendre homogène afin ne pas laisser de trou de sécurité..

Il me semble qu'il faut d'abord bien maitriser les principes des droits des applications pour Linux , avant de le faire avec AppAmorr....... Pour l'intant c'est de l'hébreu..

herrib
10/10/2006, 20h59
Il me semble toutefois que c'est une sorte d'interface pour gérer de façon homogène les droits plus poussés des applications, qu'on retrouve dans Linux ( ce que je n'ai jamais fait encore, sauf une fois pour Proftpd : le chroot avec une doc inadaptée m'a valu une réinstall de la 9.2 ) ????
Applications confinées : je m'attendais à ce qu'on nous parle de chroot http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif un bon moyen de sécuriser les applications.[/b]
Chroot est une technique qui dans son principe consiste à positionner la racine d'une arborescence dans une autre arborescence. Explication sommaire:


* soit l'arborescence absolue / -> /dev
->/ usr
->/opt/www/cgi
->/opt/www/blabla
En utilisant chroot, on peut définir un / (base de l'arborescence) pour un utilisateur qui pointe sur /opt/www en sorte que le-dit utilisateur verra:

/ ->/cgi
->/blabla

Il n'aura donc pas accès à / "réel" et aux arborescence /dev et /usr/

Pour plus d'info:

$ info chroot

<div class='quotetop'>Citation </div>
C'est aussi ce qu'on retrouve dans Apache avec la définition des reps accessibles aux scripts CGI ????[/b]
Oui.

Maintenant, de l'intérêt de SELinux ou AppArmor. Supposons une application qui s'exécute dans un environnement chrooté. Une faille est exploitée qui permet d'acquérir les droits root. L'environnement chrooté peut être contourné.

SELinux et AppArmor, sous des mécanismes différents, définissent les ressources qu'une application peut exploiter et notamment interdire à cette application (les process qui l'exécutent) d'utiliser certaines ressources telles que, par exemple, des appels à des commandes de type chroot, ls, etc ... (je caricature pour être compris). Ainsi, si l'application vient à présenter des lacunes, l'exploitation de ces lacunes restera confinée à certaines ressources et ne permettra pas, si le paramétrage est bien réalisé, de permettre à un utilisateur malveillant (ou non!) de venir modifier le système en profondeur.

Nota: on peut aisément démontrer que les systèmes de droits (rwx) appliqués à des fichiers ne suffisent pas car de nombreuses ouvertures ont été ménagées dont sudo ...

<div class='quotetop'>Citation </div>
mais ce n'est pas ausi convivial que l'interface de conf de Iptables pour le firewall.. ( ai- je faux de comparer les deux : Appamor ne serait qu'une interface pour un truc de Linux très difficile à rendre homogène afin ne pas laisser de trou de sécurité..[/b]

???? conviviale l'interface? Voici, à des fins d'illustration de l'ergonomie d'Iptables, interface de paramétrage de Netfilter, ce que signifie ouvrir des ports pour permettre l'exécution d'un client BitTorrent:


# /sbin/iptables -I INPUT -p tcp --destination-port 6881:6889 -j ACCEPT (je créé une règle qui permet d'accepter le trafic entrant sur les ports compris entre 6881 et 6889 en protocole TCP)
/sbin/iptables-save > /etc/sysconfig/iptables (je fais
sbin/iptables -I INPUT -p udp --destination-port 6881:6881 -j ACCEPT (je sauvergarde la règle)
/sbin/iptables -L (je visualise le résultat = les règles actives)

Bon, la convivialité fait cruellement défaut.

Netfilter (et son interface de programmation, Iptables) règlent la gestion des interfaces du système (actions sur les protocoles supportés et les port au travers desquels ces protocoles dialoguent avec le système).

AppArmor et SELinux sont des éléments de niveau applicatif (au-dessus en termes de couches!).

AppArmor et SELInux peuvent par ailleurs bloquer l'utilisation de ressources réseau (regardées comme des fichiers par Linux, car in fine, tout est fichier sous Linux!) mais n'agissent pas sur la gestion des communications.

<div class='quotetop'>Citation </div>
Il me semble qu'il faut d'abord bien maitriser les principes des droits des applications pour Linux , avant de le faire avec AppAmorr.......Pour l'intant c'est de l'hébreu..[/b]

Il me semble qu'AppArmor est bien documenté (je n'en dirais pas de même de SELinux mais les utilisateurs de Fedora en font volontiers leur affaire en acceptant les réglages par défaut). Il faut lire un petit-peu (et notamment, lire la documentation que l'on recommande, chère Jacqueline ..). http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

farvardin
11/10/2006, 09h26
<div class='quotetop'>Citation </div>
Ce que je sais, c'est que je ne l'avais pas activé sur le PC de mon fils, et qu'il s'est pris une sorte de trojan sur une SuSE 10 du fait de Firefox (1.0.4)[/b]


Impossible de virer le dossier Firefox (delete en tant que root pas mieux)

Non ?? je n'ai jamais entendu ce genre de chose sous linux, c'était vraiment à cause de cela ? Comment cela serait-il possible ? Tout le pc était corrompu alors ?

phoenix
11/10/2006, 16h29
<div class='quotetop'>Citation </div>
Ce que je sais, c'est que je ne l'avais pas activé sur le PC de mon fils, et qu'il s'est pris une sorte de trojan sur une SuSE 10 du fait de Firefox (1.0.4)[/b]

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif

Torrent
15/10/2006, 15h43
Favardin :
Non ?? je n'ai jamais entendu ce genre de chose sous linux, c'était vraiment à cause de cela ? Comment cela serait-il possible ? Tout le pc était corrompu alors ?
__________________________________________________ ______________________________
____

Dans le doute, j'ai ensuite formaté et fait une ré-install
Tout ce que je sais, c'est qu'il se plaignait de ce que Firefox marchait pas bien.
J'ai essayé de le désinstaller avec Yast (c'était le Firefox natif de la distri).....pas moyen
J'ai essayé de virer les fichiers en tant que root, en commencant par celui du "home", pas moyen
J'ai réinstallé "par dessus", et là ça l'a perturbé : lancement avec les messages "sudo ceci, sudo celà"
J'ai tout formaté, sans installer Firefox ni sudo
J'ai remis Firefox (à jour) depuis le tgz (j'ai juste eu à "linker" à la main les jre et autres mplayer)

PS : Excusez ma mémoire, mais ça remonte à cet été, et je me souviens plus exactement la chronologie, fallait faire vite vu que j'habite loin de chez lui